Se un un ricercatore esperto di sicurezza informatica scopre una falla in un software, un sistema informatico o in un servizio online, può scegliere di vendere la sua scoperta sul mercato nero, oppure informare l’azienda produttrice, in modo che possa creare una patch. Molte società ed enti governativi per invogliare questi ricercatori, a fare la cosa giusta e sanare così le proprie falle di sicurezza, hanno attivato nel tempo iniziative di “bug bounty”. In pratica si offrono ricompense in denaro, decisamente interessanti, in base alla gravità del bug di sicurezza, ovviamente obbligandoli alla segretezza. Google, Microsoft, Facebook, Twitter ma anche Fiat Chrysler e il Dipartimento della Difesa statunitense prevedono piani di questo tipo.
Il cambio di rotta di Apple, in nome della sicurezza.
Apple non ha mai aderito a questo tipo di soluzioni per vari motivi, che vanno dalla fortissima cultura della segretezza, sia perchè ormai i creatori di malware e spyware o i servizi segreti offrono decisamente di più, per scoprire i problemi di sicurezza dei melafonini. Per questo motivo l’annuncio del nuovo programma di “bug bounty” che l’azienda di Cupertino, lanciato alla Black Hat conference di Las Vegas ha sorpreso la comunità degli esperti del settore.
L’annuncio alla conferenza Black Hat
Ivan Krstic, capo della divisione Security Engineering di Apple, ha illustrato il piano, che inizierà a settembre. Questo programma prevederà pagamenti decisamente ricchi, arrivando fino a 200.000 dollari se vengono scoperte le vulnerabilità estremamente pericolose che riguardino il processo di avvio sicuro dei dispositivi. LE ricompense L’azienda pagherà fino a 100.000$ per bug che permettono di violare l’enclave sicura dei dispositivi iOS e fino a 50.000$ a chi riuscisse a bucare i server di iCloud. Ovviamente la violazione dovrà esser accertata e ripetibile.